Spoluautorem článku je Mgr. Jakub Klodwig ↗.
Úspěšně jste se zapsali do katalogu poskytovatelů cloud computingu ↗? Šlo pouze o první krok k poskytování služeb cloud computingu veřejné správě.
Přinášíme návod na to, jak pokračovat dál. Dalším krokem pro poskytování služeb cloud computingu orgánu veřejné správy je zapsání vašich služeb jako nabídky cloud computingu. Tato část je však oproti prvnímu kroku organizačně komplikovanější.
Prvním krokem je vyplnění formuláře vydaného Ministerstvem vnitra, včetně dokumentů, kterými se prokazuje zajištění požadované úrovně ochrany důvěrnosti, integrity a dostupnosti informací (pro zjednodušení budeme v textu používat pojem „zajištění bezpečnosti informací“) dle přílohy č. 2 vyhlášky ↗ o některých požadavcích na zápis do katalogu cloud computingu (dále jen „vyhláška o vstupních kritériích“).
Vzhledem k množství dokumentů, které je potřeba dodat spolu s formulářem, byla vydána stručná metodika ↗ včetně vzorového vyplnění požadovaných dokumentů, která popisuje postup pro podávání, přiřazování a identifikaci dokumentů připojených k žádosti o zápis nabídky.
Každý informační systém veřejné správy, který využívá cloud computing, musí být zařazen do odpovídající bezpečnostní úrovně. Za tímto účelem byla vydána vyhláška ↗ o bezpečnostních úrovních pro využívání cloud computingu orgány veřejné moci.
Vyhláška stanovuje pro využívání cloud computingu čtyři bezpečnostní úrovně: nízkou, střední, vysokou a kritickou.
Informační systém zařazený do kritické bezpečnostní úrovně může využívat pouze cloud computing zapsaný v kritické bezpečnostní úrovni katalogu. Poskytovatelem takového cloud computingu může být pouze poskytovatel státního cloud computingu.
Vyhláška o bezpečnostních úrovních stanovuje také devět oblastí dopadu a ke každé z nich čtyři kategorie scénářů, které mohou nastat jako dopad možného kybernetického bezpečnostního incidentu. Bezpečnostní úroveň se odvíjí od nejvyšší identifikované hodnoty dopadu uvažovaného incidentu.
Hodnocené oblasti dopadu jsou:
Zařazení informačního systému provede orgán veřejné správy po zhodnocení úrovně dopadu možného kybernetického bezpečnostního incidentu v identifikovaných oblastech. O stanovení bezpečnostní úrovně poptávaného cloud computingu musí být veden písemný záznam s odůvodněním relevantních závěrů v souladu se zveřejněným vzorem na stránkách Národního úřadu pro kybernetickou a informační bezpečnost.
Proč mít tento mechanismus na paměti, ačkoli se jedná o postup pro orgány veřejné správy? Protože pomůže soukromým poskytovatelům cloud computingu pro veřejný sektor identifikovat, do jaké bezpečnostní úrovně chtějí a potřebují zapsat svoji nabídku cloud computingu.
U některých typově vyjmenovaných informačních systémů veřejné správy jsou bezpečnostní úrovně dané, nehledě na zhodnocení nejhoršího možného dopadu. Proto například informační systém veřejné správy, který je určený jako významný informační systém, bude vždy odpovídat alespoň zařazení do bezpečnostní kategorie „vysoká“ případně „kritická“. Informační systém, který je prvkem kritické informační infrastruktury, bude vždy zařazen do nejvyšší „kritické“ bezpečnostní úrovně.
Požadavky na zápis do jednotlivých bezpečnostních úrovní jsou stanoveny v příloze č. 2 vyhlášky o vstupních kritériích. Ačkoli může tabulka působit hrozivě, je to způsobenou spíše formátováním než složitostí dokládaných skutečností.
S většinou z požadovaných dokumentů navíc budete mít zkušenosti v rámci dosavadního poskytování cloud computingu vašim zákazníkům. Se stoupající bezpečnostní úrovní se zvyšuje objem ověřovaných skutečností, které ověřují bezpečnost vámi poskytovaného cloud computingu.
V nejnižší bezpečnostní úrovni je nutné získat následující dokumenty:
To znamená konkrétně, že pro zapsání nabídky v nejnižší úrovni potřebujete doložit písemný popis nabízené služby. Z něj poté budou vyplývat informace o územích států, ve kterých mohou být uložena data vámi poskytovaného cloud computingu. Stejně tak informace o tom, ve kterých z nich dochází k jeho správě.
V případě že je poskytování závislé na více poskytovatelích cloud computingu, musí být i tito poskytovatelé zapsaní v katalogu cloud computingu a tato skutečnost musí být v žádosti uvedena.
Součástí dokumentace musí být také zpráva nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka pro datové centrum. Zároveň potřebujete doložit zpracovanou strategii zajištění kontinuity provozu a strategii obnovy po havárii, tzv. business continuity a disaster recovery plán.
Dále ministerstvo zajímá váš smluvní vzor a podmínky poskytování služby, ze kterých musí vyplývat zajištění postupu, že v případě právně závazné žádosti o přístup k datům poskytovaného cloud computingu takové žádosti nevyhovíte automaticky, ale odkážete žadatele na vašeho zákazníka, kterému data patří.
Zároveň prohlašujete, že takovou žádost právně přezkoumáte a posoudíte její odůvodněnost.
Dále musíte těmito dokumenty doložit schopnost zajistit odpovídající provozní dostupnost poskytovaného cloud computingu na minimální úrovni 96,16 % (SLA ↗). Nezapomeňte také informace o dostatečném zajištění kapacity provozu záložního data centra a zajištění jeho bezpečnosti, poskytnutí nástrojů nebo služeb pro zvýšení odolnosti proti útokům typu DoS/DDoS a informace o kryptografických opatřeních při přenášení a uložení dat.
Ve smlouvě nebo podmínkách poskytování služby se musíte věnovat také opatřením v rámci bezpečnostních incidentů – pořizovat záznamy o přístupu interních a externích pracovníků k nezašifrovaným datům, zavedení nástroje na sledování a vyhodnocování kybernetických bezpečnostních událostí a v případě narušení bezpečnosti informací zákaznických dat, je zákazník informován neprodleně, nejpozději však do 72 hodin od okamžiku zjištění daného narušení.
Z dalších povinných dokumentů, které musíte pro zápis doložit, jsou to:
Pro zápis do vyšších bezpečnostních kategorií je vyžadován obdobný set dokumentů doplněný o certifikaci ISO/IEC 27 001 a v některých případech také report SOC 2 typ 2. Certifikace do vyššího stupně se liší především rozsahem ověřovaných skutečností obsažených v dokládaných dokumentech.
Umíme vám pomoci v rámci zápisu s každou oblastí. Pokud se potřebujete zapsat do samotného katalogu, koukněte na náš další článek ↗. Pokud už v katalogu jste a potřebujete zapsat nabídku, potom umíme pomoct s: